Защита от брутфорс-атак (Fail2Ban)

Блокировка IP-адресов (Fail2Ban) - это автоматизированный способ защитить ваш сервер от атак методом перебора (брутфорс). Используя регулярные выражения, Fail2Ban проверяет файлы журналов на различные ошибки аутентификации, ищет эксплойты и другие записи, которые могут считаться подозрительными. Ведется подсчет подобных записей журнала, и когда их количество достигает определенного значения, Fail2Ban или отправляет уведомление по электронной почте, или блокирует IP-адрес злоумышленника на определенный период времени. По окончании периода блокировки IP-адрес автоматически разблокируется.

Логику работы Fail2Ban определяют джейлы. Джейл представляет собой набор правил для конкретного сценария. Настройки джейла определяют, что нужно сделать в случае, если обнаружена атака в соответствии с упределенным фильтром (набором из одного или нескольких регулярных выражений, используемым для мониторинга журналов). Более подробную информацию смотрите в разделе Управление джейлами Fail2Ban.

Примечание Чтобы использовать Fail2Ban, администраторам, обновляющим Plesk с версии 11.5, необходимо приобрести новый ключ лицензии для Plesk Onyx у компании Plesk или своего поставщика.

Чтобы настроить блокировку IP-адресов и сетей, создающих вредоносный трафик для вашего сервера:

  1. Откройте  Инструменты и настройки  >  Блокировка IP-адресов (Fail2Ban)  (в разделе  Безопасность ). Нужно установить компонент Fail2Ban на ваш сервер.
  2. Поставьте галочку Включить обнаружение атак. Служба Fail2Ban будет активирована.
  3. Укажите следующие параметры:
    • Период блокировки IP-адреса - период времени в секундах, на который будет заблокирован IP-адрес. По окончании этого периода IP-адрес автоматически разблокируется.
    • Интервал обнаружения последующих атак - интервал времени в секундах, в течение которого система подсчитывает количество безуспешных попыток входа и других нежелательных действий со стороны того или иного IP-адреса.
    • Допустимое количество неудачных попыток входа перед блокировкой IP-адреса - количество неудавшихся попыток входа со стороны IP-адреса.
  4. Нажмите OK.

Теперь все активные джейлы Fail2Ban будут использоваться для мониторинга файлов журналов и блокировки подозрительных IP-адресов.

IP_Address_Banning

Использование Fail2Ban в Plesk имеет следующие особенности и ограничения:

  • Не перезапускайте Fail2Ban вручную, как службу Plesk, так как это приведет к потере всей собранной статистики, включая заблокированные на данный момент IP-адреса.
  • Fail2Ban не дает защиты от атак с IPv6-адресов. Fail2ban в Plesk, если его не перенастраивать, ориентируется только на IP-адреса (без преобразования имени хоста).
  • Fail2Ban не защищает от распределенных атак методом перебора, так как идентифицирует злоумышленников по IP-адресам.
  • Если у вас Plesk установлен на VPS, ограничение количества записей в iptables на VPS (numiptent) может повлиять на работу Fail2Ban. При превышении этого ограничения работа Fail2Ban будет нарушена, а в журнале Fail2Ban появится подобная запись:
    fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100
    В этом случае для решения проблемы обратитесь к своему провайдеру хостинга VPS.
  • Если у вас на сервере Fail2Ban был установлен до обновления до версии Plesk Onyx, его пакет будет заменен пакетом Fail2Ban из Plesk. Если версия вашего установленного пакета выше версии, поставляемой с Plesk, это может помешать обновлению. Существующие джейлы не будут переписаны, и вы сможете управлять ими через Plesk наряду с джейлами из Plesk Onyx.

Чтобы предотвратить блокировку конкретного IP-адреса:

  1. Откройте  Инструменты и настройки  >  Блокировка IP-адресов (Fail2Ban)  > Надежные IP-адреса  > Добавить надежный IP-адрес.
  2. В поле IP-адрес введите IP-адрес, диапазон IP-адресов или имя узла DNS и нажмите OK.

Файлы журналов Fail2Ban можно посмотреть и скачать на странице  Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Журналы .

Посмотреть список заблокированных IP-адресов, разблокировать их или перенести в список надежных можно на странице  Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Заблокированные IP-адреса .

Посмотреть список IP-адресов, которые никогда не будут заблокированы, а также добавить или удалить IP-адрес из этого списка можно на странице Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Надежные IP-адреса .

Далее в этом разделе:

Управление джейлами Fail2Ban

 

Leave your feedback on this topic here

If you have questions or need support, please visit the Plesk forum or contact your hosting provider.
The comments below are for feedback on the documentation only. No timely answers or help will be provided.